【ランサムウェア】「WannaCry」で世界を攻撃、これまでにわかったこと [無断転載禁止]©2ch.net
レス数が1000を超えています。これ以上書き込みはできません。
http://www.afpbb.com/articles/-/3128245?act=all
【5月15日 AFP】世界150か国以上で被害が出ている「ランサムウエア」を使った前例のない規模でのサイバー攻撃について、専門家らは現在、犯人の特定に全力で取り組んでいる。今回、主に米マイクロソフト(Microsoft)の基本ソフト(OS)「ウィンドウズ(Windows)」の旧バージョンが狙われた。
ランサムウェアを使った今回のサイバー攻撃について、これまでに明らかになっているのは以下の通り。
■「WannaCry」
全世界で12日、主にマイクロソフトの「ウィンドウズXP(Windows XP)」の脆弱性に付け込んだサイバー攻撃が相次いで発生。「WannaCry」や「WCry」と呼ばれるランサムウェアが攻撃に用いられた。
その手口は、利用者がデータにアクセスすることを一時的に不可能にし、その解除と引き換えに仮想通貨「ビットコイン(Bitcoin)」での身代金支払いを要求するもの。旧バージョンのOSは、すでに基本的な技術サポートが終了している。
■被害状況
欧州警察機構(ユーロポール、Europol)のロブ・ウェインライト(Rob Wainwright)長官は14日、今回のサイバー攻撃による被害は世界150か国以上に及び、被害件数は20万件以上に上っていると明かした。ランサムウェアを使ったサイバー攻撃としては、史上最大の規模だという。
英国の複数の医療機関やスペインの通信会社大手テレフォニカ(Telefonica)、仏自動車メーカーのルノー(Renault)、米運輸大手フェデックス(FedEx)といった企業のほか、露内務省、独ドイツ鉄道(Deutsche Bahn)なども被害に遭ったと報じられている。
■全世界に拡散
専門家らは、ランサムウェアのプログラムが世界数十言語に対応しているとみられることから、ハッカーらは世界的なネットワークのかく乱を目論んでいたことが考えられると指摘している。
露モスクワ(Moscow)のITセキュリティー大手カスペルスキー(Kaspersky Lab)の研究チームは、米国家安全保障局(National Security Agency、NSA)が開発したコードが使用された点を指摘し、これが被害の急速な拡散につながったとしている。このデジタルコードは、NSAから流出したドキュメントに含まれていたものだという。
ウェインライト氏によると今回の攻撃は、ランサムウェアとワーム機能を組み合わせた特殊なものだったため、1台のコンピューターが感染すると、ネットワーク上にある他の脆弱なコンピューターにも感染が及ぶようになっていた。米セキュリティーソフト大手シマンテック(Symantec)は、攻撃は無差別に行われたとしている。
■背後にいるのは誰か
ハッカーの身元やその動機については、現時点では明らかになっていない。被害に遭った国々では現在、安全保障当局が犯人特定に全力を注いでいる。
犯人像については、個人とは考えにくく、サイバー犯罪を専門とする地下組織がかかわっているとみられる。より高度なエンクリプションを用い、その行動を分かりにくくしていると専門家らは説明する。
■要求
感染すると、300ドル(約3万4000円)を仮想通過ビットコインで支払うよう要求するメッセージがスクリーンに表示される。
メッセージは、支払いが3日以内に履行されない場合には金額が2倍となり、7日以内に支払いがなければデータファイルは消去されると警告する。
被害の規模から、たとえそれぞれが少額であっても短時間で相当の金額が集まる可能性も考えられるが、これまでに支払った人はそう多くないとみられている。
専門家らは、要求に応じればハッカーを喜ばせるだけであり、ファイルのロックが解除される保証がないばかりか、被害者の銀行口座情報を知られることになる恐れもあるため、支払いには応じないよう注意を促している。(c)AFP
2017/05/15 14:17(ロンドン/英国) >>889
ん?
実使用されてる暗号化で、文の長さnに対して
nlog(n)とかn^2とか時間かかる暗号なんてあったっけ?
あったら教えてほしいわ。 どうやら金銭の回収がうまく行ってないみたいだな。
公開鍵と秘密鍵の役割をきちんと理解してこい。 >>882
https://github.com/misterch0c/shadowbroker/
今回のWannaCryに使われてる脆弱性を攻撃するツールが公開されたときに、
Windows10の脆弱性を攻撃するツールも公開されてるんだよね 自分でウイルス開いて感染してるのにサイバー攻撃とか笑えるwwwwwwwwwwwwwwwwwwww ガースーとMUFGコインと、おまえらかよ!wwwwww >>898
3巻ローテーションが基本で、壊れてるのに気づかないままバックアップし続けることを防ぐために
一定期間ごとに永久バックアップないとダメ(´・ω・`) もしもし、オレオレ
何か、パソコンがランサムウェアとかいうウィルスに感染しちゃってさ
今日中に100万円振り込まないとパソコンが壊れちゃうんだよ
今から振込先を教えるからそこに振り込んでくれない? マイクロソフトの自作自演だろ
そんなに移行してほしいのか バックアップ用の不可視領域作れるソフトだったら、この類のマルウェアに感染しても簡単に戻せるよ。
ネットワーク必須の専用端末には全機種に某社のバックアップソフトでカプセルを仕込んである。 CodeRedの時はグローバルな賑やかさと、突いてきた人のHDDの中身も丸見えだった。 >>901
>>884をスルーした挙句勝利宣言?
そもそも払うべきだなんて一言も言ってないんだけどな
公開鍵秘密鍵が分かってないのはお前の方だろう
分かってれば>>797みたいな勘違いはしないし >>250
そのキーボードはチョッパリに見せちゃ駄目ニダ
謝、賠・・・ ウイルスにやられたのは後にも先にもブラスターだけだわ >>897
7と8.1にはあの田ウイルスのせいでアップデート切ってたって人も多いだろうな。 個人PCよりも、会社PCの方が危ないかもね
マヌケが一人いるだけで会社中の全てのPCに感染するんでしょ? >>910
では素数ペアの片方が公開鍵である。
この仮定は正しいか述べてみなよ >>899
Flash PlayerやJava Runtime、Acrobat Reader等のパッチを当ててなければ、
ウイルスプログラムの作りによっては、改竄されたWebサイトを見ただけで
等で感染する可能性はある。
あと、Security Essentialsや、Defenderで使われているマルウェア検索
エンジンの脆弱性を放置していると、直接添付ファイルやダウンロードした
ファイルを開いたりしなくても、リアルタイムスキャン動作が感染の引き金
なので、改竄メールの受信や、ファイルをダウンロードするだけで感染する。 > ユーザーの支払いを促すための復号テスト機能については「暗号化を解除できることを確認している」(岡本氏)。
これがフェイクでなければ
何も追加しなくても暗号化された状態に復号化に必要な情報が
埋め込まれてる >>882
まぁ難しいだろうな ただ余計挑戦意欲が出てくるんだよww
せっかくパワーシェルを使ってんだからこういう時位使って世界の奴らと腕を競わねば
おれはカネとかは要らんからひたすら壊しまくるがww
これちょっと調べてみたけどSMBの穴を利用するのね >>917
いやご高説大変結構なんだが、なんでWanaCryのスレで一般論語り始めてんの? >>917
このWannaCryはexeを実行しないと感染しない ipaの脆弱性のとことか見てみたけどxp云々は関係ないだろ
10も食らうけどアップデートが有るから安心と言うだけの話で 専用機器のマシンがXPだから入れようとしたらSP1だったわw >>915
コントロールパネルからSMB1.0の利用チェックボックス外しとけば
巻き添えは防げるモヨウ 糞 俺のチャレンジグ魂に完全に火が付いた
イスラエルのカメラをぶっ壊しまくってた頃を思い出すよ
パソコンスピリッツで全力で行くぞ >>924
偽装ファイルで簡単に実行するよ。偽装JPEGファイルをクリックすればEXEを実行できる 状況からいって、きっと、ウィンドウズの古いバージョンを新しいバージョンに
移行させようとしていたヤツが犯人だなwww >>916
How can a public key that is known to be the product of prime numbers be a prime number?
I know how you desperately want to avoid getting argued down, but changing subject again and angain will only make you look more miserable!!! ビットコインで請求って
マイニング先進国がやったに決まってんだろ うちのPCはwin7のアプデ不具合でCPU負荷が高い状態になってほどなく死んだ
マイクロソフトの呪いはいつまで続くのやら >>924
古いJREだとオレオレ証明書のプログラムでも動くし、デフォルトのブラウザ
内でJavaが有効な設定だと、ActiveXと同じくサーバ側からプログラムを送り
つけて走らせられる。JREのSandBox脆弱性が放置されていれば乗っ取り可能。
PDFファイルはJava Scriptを埋め込むことができ、Adobe Readerはデフォ
ルトの設定で、Java Scriptを実行する。PDFファイルを開いた時のイベント
にJava Scriptが設定されていれば、PDFを開いたら即実行。スクリプト内
からHttp経由でexeファイルをダウンロードして、実行するなど造作もない。 >>916
横からすまんが、おまえそれめちゃくちゃ乱暴な質問やな。
否に決まってる。
正確には「いつも正しいとは限らない」だが。 >>937
なんでWannaCry対策のハナシを混乱させようとする書き込みを続けるの? >>924
WannaCryがそれに当たるかは知らんが、.scrとかもヤバい。
他にもヤバい拡張子は山のようにある。
お前みたいなやつが引っかかる。 こんだけ広がってるとこを見ると
ネットに繋いでるだけで侵入してくるウィルスなんだろうな >>939
亜種なんてすぐに出るし、別にちょっと一手間かければ、いくらでも感染
させられるってこと。 なんで、能動的にexe実行しなければ、感染が防げる
なんて嘘の情報を流布したいの? >>940
拡張子がscrの添付ファイルされてるメールとか届く前に削除されてても良さげだがな メールサーバとサンドボックスの連携で対策できたりするんだけど
痛い目に遭ったことがないとこは絶対導入しないからなぁ >>946
メール添付型の標的型攻撃だったらメールサーバとサンドボックスの連携が主流なんじゃね? 感染マシンごとにRSA 2048bitの鍵ペアを生成する
生成された公開鍵(*)は00000000.pkyとして保存される
生成された秘密鍵はランサムウェアが持つ公開鍵で暗号化され00000000.ekyとして保存される
各ファイルはファイル毎に固有の鍵を使ってAES 128bitのCBCモードで暗号化される
ファイル毎の鍵はCryptGenRandom関数で生成され、公開鍵(*)で暗号化される
暗号化されたファイル毎の鍵は暗号化されたファイル自体に埋め込まれる >>940
scrは中身はexeだからね
それはscrとかが問題じゃなく
ウイルスを必ず実行するようなexeに置き換えられたら
簡単だという話
実際は汎用的にできない
NSAのはサンバの脆弱性でexeを拡散させて
これはなんだろうって実行してしまうような人が
感染してる状況じゃないのだろうか
医療関係や重要なとこはメールではめてる つーことで復号を正しく行うには
「00000000.eky」と「ファイル毎に00000000.pkyで暗号化されたAES鍵」を攻撃者のサーバに投げて
攻撃者のサーバは「ランサムウェアが持つ公開鍵」に対応した秘密鍵でAES鍵を復号してクライアントに返すって挙動になるね 悪い奴とのイタチごっこ。
アップデートに過信しててもゼロデイ攻撃だと。
使い手自身をアップグレードしないとダメだ( ^ω^ ) 今回の身代金要求型は一件あたり3万円くらいらしいな
「このくらいなら・・・」で払う人居るんだろうな >>956
てか、XPをネットに繋いでるような人に、ビットコインでの支払いはハードル高杉w 感染してやられてもやり取りするの怖いし、データ諦めて泣く泣く再インストールか
これを機にPC買い直しじゃない?中古で3万も出せば性能十分なのあるよ
金要求して払うのそんなにいるんかねー >>919で言及されているお試し復号については
暗号化されたファイルの拡張子は.wncryと.wncyrのものがあり
後者はAES鍵が暗号化されずに埋め込まれており攻撃者の秘密鍵なしで復号できるようになっている
というカラクリらしいね
これは.wncryを復号させる気があるのか怪しいねえ くらったら初期化するわけだけどその時OSも変えちゃうのかな怪しいな ほんとに大事なデータだったらローカル以外にも保管してるから
PCを初期化されても結構平気なんだが、そういうことを知らない人は
簡単に添付ファイルクリックするよなぁ いやだってこういう事するのってマイクロソフトの誰かだろ? >>963
なんでMSと特定したのか謎だけど
だいたいはエクスプロイトキットで作っちゃうんじゃね? >>936
なるほど参考になった
RSA秘密鍵をランサムウェア共通の公開鍵で暗号化してサーバーに渡してユニーク識別してるわけか 復号ツール自体は攻撃者が持つ2048bit RSAの秘密鍵さえ分かれば全感染者共通のものが作れるけど
これはブルートフォースでは無理な強度だね >>1
とりあえずビットコインの払い先アカウントと関係者を洗って拷問だろ常考 win7だし、アップデートエージェントも最新版だし
大丈夫だろう ウィルス対策ソフトを手掛けてる団体ではないだろうか? >>972
大体の人がある程度対策したら「大丈夫だろう」ってことでそれ以上考えたくなくなるんだよね 00000000.ekyをtor上のサーバに送って復号してもらって00000000.dkyとして保存し
それで各ファイルからAES鍵を取り出して復号する(というルーチンは存在する)とのこと
実際にサーバが復号してくれるのかは不明 >>979
脆弱性放置するような被害者に
ビットコインとTor入れろってか。
厳しすぎる。 でやっぱり結論としては今回のランサムウェアは
bitcoinの支払情報と各感染者の00000000.ekyを結びつける方法がないから
結局身代金を払っても無駄なんじゃないかという >>981
torへのアクセスはランサムウェアが勝手にやるよ >>982
それ、オレオレ詐欺に送金するようなもんだろ? 復号するわけがない >>654のサイトを読んで、「SMBv1 を無効にする」ってのをやったんだけど、
windows7の場合、コマンドプロンプトからコマンドを入力するんだけど、
本当に無効になったかどうか、どうやったら確認できるの? 重要データは、定期的に外付けHDDにバックアップして隔離ってことなんだな。 ミサイルが高く飛びました
で?
らんさむが広がりました
で?
犯人はパタリロだな かかったらさっさと払うしかないな
当局は消えたデータの補償はしてくれない
ビットコインで何で銀行口座情報が知られるんだよw >>989
払っても無駄だけどなwこれ払う奴は相当のアホだぞ Bitcoinのアドレスに650万円相当が集まっているな
まだ増えるだろうけど、騒がれた割に少ないような気がする >>992
XPをネットに繋いでるような人達に、ビットコインの支払いは無理じゃろう・・・ >>992
200人弱の人(または企業)が払ったってことかな?
復元できた人はいるんだろうか? >>780
起動時のパスワードかかってたら起動できない。
HDD取り出して自分のPCにつなげて見てみようとしても、
アレな動画や画像満載とかだったらHDDのパスワードや暗号化かけてある可能性も高い。
初期化して再利用かHDD抜いて中古屋に売っちまいな。 次
【PC】Windows XPも標的に… 異例のパッチ配布 全世界で猛威を振るうランサムウェア「WannaCry」
http://asahi.2ch.net/test/read.cgi/newsplus/1494852516/ レス数が1000を超えています。これ以上書き込みはできません。